Comunicado de prensa

Go to 

Dic
12

El informe de WatchGuard Threat Lab revela un aumento de los actores de amenazas que explotan el software de acceso remoto

Hallazgos notables de la investigación también muestran un aumento del 89% en los ataques de ransomware a los endpoint y una disminución del malware que llega a través de conexiones cifradas.

Madrid - 12 de diciembre de 2023 WatchGuard® Technologies, líder mundial en ciberseguridad unificada, ha anunciado los resultados de su último Informe de Seguridad en Internet, que detalla las principales tendencias de malware y amenazas de seguridad de red y endpoints analizadas por los investigadores de WatchGuard Threat Lab. Las conclusiones más destacadas de los datos muestran un aumento de los casos de abuso de software de acceso remoto, el aumento de los ciberadversarios que utilizan ladrones de contraseñas e información para robar credenciales valiosas, y los actores de amenazas que pasan de utilizar secuencias de comandos a emplear otras técnicas para iniciar un ataque a un endpoint. 

 

"Los actores de amenazas siguen utilizando diferentes herramientas y métodos en sus campañas de ataque, por lo que es fundamental que las organizaciones se mantengan al tanto de las últimas tácticas para fortificar su estrategia de seguridad", explica Corey Nachreiner, director de seguridad de WatchGuard. "Las plataformas de seguridad modernas que incluyen firewalls y software de protección endpoint pueden ofrecer una mayor protección para redes y dispositivos. Pero cuando se trata de ataques que emplean tácticas de ingeniería social, el usuario final se convierte en la última línea de defensa entre los actores maliciosos y su éxito en infiltrarse en una organización. Es importante que las organizaciones proporcionen educación en ingeniería social, así como que adopten un enfoque de seguridad unificado que proporcione capas de defensa, que puedan ser gestionadas eficazmente por proveedores de servicios gestionados”.  

 

Entre las principales conclusiones, el último Informe de Seguridad en Internet con datos del tercer trimestre de 2023 muestra: 

 

  • Los actores de amenazas utilizan cada vez más herramientas y software de gestión remota para eludir la detección antimalware, como han reconocido tanto el FBI como el CISA. Por ejemplo, al investigar los principales dominios de phishing, el Threat Lab observó una estafa de soporte técnico que daba lugar a que la víctima descargara una versión preconfigurada y no autorizada de TeamViewer, que permitía al atacante el acceso remoto completo a su ordenador. 
  • La variante del ransomware Medusa se dispara en el tercer trimestre, haciendo que los ataques de ransomware a endpoints aumenten un 89%. A primera vista, las detecciones de ransomware para endpoints parecían haber disminuido en el tercer trimestre. Sin embargo, la variante del ransomware Medusa, que apareció en el Top 10 de amenazas de malware por primera vez, se detectó con una firma genérica del motor de firmas automatizado del Threat Lab. Si se tienen en cuenta las detecciones de Medusa, los ataques de ransomware aumentaron un 89% entre trimestres. 
  • Los actores de las amenazas dejan de utilizar ataques basados en secuencias de comandos y emplean cada vez más otras técnicas basadas en la vida real. Los scripts maliciosos disminuyeron como vector de ataque en un 11% en el tercer trimestre, tras caer un 41% en el segundo. Aun así, los ataques basados en secuencias de comandos siguen siendo el principal vector de ataque, con un 56% del total, y los lenguajes de secuencias de comandos como PowerShell se utilizan a menudo en los ataques sin intervención humana. Por otra parte, los ataques a binarios de Windows aumentaron un 32%. Estos resultados indican a los investigadores de Threat Lab que los autores de las amenazas siguen utilizando múltiples técnicas de ataques "living-off-the-land", probablemente en respuesta a las mayores protecciones en torno a PowerShell y otras secuencias de comandos. Los ataques "living-off-the-land" constituyen la mayoría de los ataques a endpoints.
  • El malware que llega a través de conexiones cifradas se redujo al 48%, lo que significa que algo menos de la mitad de todo el malware detectado procede del tráfico cifrado. Esta cifra es notable porque ha disminuido considerablemente con respecto a trimestres anteriores. En conjunto, el total de programas maliciosos detectados aumentó un 14%.
  • Cuatro de los cinco programas maliciosos cifrados más detectados en el tercer trimestre fueron una familia de dropper basados en correo electrónico que distribuyen cargas útiles maliciosas. Todas menos una de las variantes del Top 5 contenían la familia de dropper denominada Stacked, que llega como archivo adjunto en un intento de spear phishing por correo electrónico. Los actores de amenazas envían email con archivos adjuntos maliciosos que parecen proceder de un remitente conocido y afirman incluir una factura o un documento importante para su revisión, con el objetivo de engañar a los usuarios finales para que descarguen el malware. Dos de las variantes de Stacked - Stacked.1.12 y Stacked.1.7 - también aparecieron entre los 10 programas maliciosos más detectados.
  • Surge el malware comoditizado. Entre las principales amenazas de malware, una nueva familia de malware, Lazy.360502, entró en la lista de los Top 10. Ofrece la variante de adware 2345explorer, así como el ladrón de contraseñas Vidar. Esta amenaza de malware se conectaba a un sitio web chino que proporcionaba un ladrón de credenciales y parecía funcionar como un "ladrón de contraseñas como servicio", en el que los autores de la amenaza podían pagar por las credenciales robadas, lo que ilustra cómo se está utilizando el malware comoditizado.
  • Los ataques de red aumentaron un 16% en el tercer trimestre. ProxyLogon fue la vulnerabilidad número uno atacada en los ataques de red, con un 10% de todas las detecciones de red en total. 
  • Tres nuevas firmas aparecieron en el Top 50 de ataques de red. Entre ellas, una vulnerabilidad de PHP Common Gateway Interface Apache de 2012 que podría provocar un desbordamiento de buffer. Otra era una vulnerabilidad de Microsoft .NET Framework 2.0 de 2016 que podría dar lugar a un ataque de denegación de servicio. También había una vulnerabilidad de inyección SQL en Drupal, el CMS de código abierto, de 2014. Esta vulnerabilidad permitía a los atacantes explotar remotamente Drupal sin necesidad de autenticación. 

En consonancia con el enfoque de la Unified Security Platform® de WatchGuard y las anteriores actualizaciones trimestrales del WatchGuard Threat Lab, los datos analizados en este informe trimestral se basan en inteligencia de amenazas anonimizada y agregada de productos activos de red y endpoint de WatchGuard cuyos propietarios han optado por compartir en apoyo directo a los esfuerzos de investigación de WatchGuard.

Para obtener una visión más detallada de la investigación de WatchGuard, lee el Internet Security Report del tercer trimestre de 2023 aquí: https://www.watchguard.com/wgrd-resource-center/security-report-q3-2023 

Acerca de WatchGuard Technologies

WatchGuard® Technologies, Inc. es un líder mundial en seguridad cibernética unificada. Nuestra Unified Security Platform® está diseñada exclusivamente para que los proveedores de servicios administrados brinden seguridad de primer nivel que aumente la escala y la velocidad de su negocio al mismo tiempo que mejore la eficiencia operativa. Con la confianza de más de 17.000 revendedores de seguridad y proveedores de servicios para proteger a más de 250.000 clientes, los productos y servicios galardonados de la empresa abarcan seguridad e inteligencia de red, protección avanzada de endpoints, autenticación multifactor y Wi-Fi seguro. Juntos, ofrecen cinco elementos que son vitales en una plataforma de seguridad: seguridad integral, conocimiento compartido, claridad y control, alineación operativa y automatización. La empresa tiene su oficina central en Seattle, Washington, y posee oficinas en Norteamérica, Europa, Asia-Pacífico y Latinoamérica. Para obtener más información, visite WatchGuard.com/es.

Para obtener información adicional, promociones y actualizaciones, siga a WatchGuard en Twitter @WatchGuard, en Facebook, o en la página de LinkedIn de la compañía. Visite también nuestro blog de InfoSec, Secplicity, para obtener información en tiempo real de las últimas amenazas y cómo hacerlas frente en www.secplicity.org. Suscríbase al podcast The 443 – Security Simplified en Secplicity.org, o dondequiera que encuentre sus podcasts favoritos.

WatchGuard es una marca registrada de WatchGuard Technologies, Inc. Todas las demás marcas son propiedad de sus respectivos dueños.

 

 

Contactos de Medios

América:
Chris Warfield
Director de comunicaciones
Tel: +1.206.876.8380
Email: [email protected]

España:
María Monge
Tel: +34 687 891 639
Email: [email protected]

 

Kit de medios

Todos los comunicados de prensa